Matthieu GRALL

Chef du service de l’expertise technologique

L’approche de la CNIL

pour mener des PIA

(Privacy Impact Assessments)

Club EBIOS

13 novembre 2014

De quoi allons-nous parler ?

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Privacy by design

Quoi ?

Pourquoi ? Comment ?

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Privacy by design

Quoi ?

Pourquoi ? Comment ?

By design = intégrer les principes au plus tôt cf. ISO/IEC 29100

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Principes de l’ISO/IEC 29100:2012 Description

Consent and choice Consentement éclairé des personnes concernées

Purpose legitimacy and specification Légitimité et communication de la finalité des traitements

Collection limitation Données collectées adéquates, pertinentes et non excessives au regard de la finalité

Data minimization Données utilisées minimisées et cloisonnées

Use, retention and disclosure limitation Traitement et diffusion de données limités

Accuracy and quality Données exactes, complètes et tenues à jour

Openness, transparency and notice Information complète des personnes concernées

Individual participation and access Droit d’accès et de rectification des personnes concernées

Accountability Capacité à gérer les données et à rendre compte

Information security Sécurité des données

Privacy compliance Règles et contrôle continu

À quoi s’applique le privacy by design ?

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Produits Traitements

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Privacy by design

Quoi ?

Pourquoi ? Comment ?

Pourquoi faire du privacy by design ?

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Mieux vaut avant qu’après

Faire des économies, en évitant des dépenses a posteriori (moins coûteux de prévoir et

mettre en œuvre que de rectifier)

Faciliter la mise en conformité

Envisager plus facilement toutes les options de traitement des risques

Réduction de risques

Transfert de risques

Évitement de risques

Prise de risques

Exigences futures

Le projet de règlement mentionne uniquement les « processing operations which are

likely to present specific risks to the rights and freedoms of data subjects by virtue of their

nature, their scope or their purposes » (ex. : considérant 70, articles 33, 34, 35).

Or, ces « critères » ne sont évidemment pas objectifs (les natures, périmètres et

finalités des traitements sont potentiellement infinis

La réflexion doit être poursuivie

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Privacy by design

Quoi ?

Pourquoi ? Comment ?

Les principaux points à considérer

L'APPROCHE DE LA CNIL POUR MENER DES PIA

1. Une gestion de projet intégrant la protection de la vie privée au plus tôt

2. Des données minimisées

3. Des données sécurisées (disponibilité, intégrité et confidentialité)

4. Une finalité clairement définie

5. Des durées de conservations cohérentes

6. Une minimisation de la possibilité de lier les données

7. Une prise en compte de tout le cycle de vie des données

8. Des paramétrages centrés sur l’utilisateur : lui donner la maîtrise

Que signifie être conforme ?

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Respect des exigences

légales

Mesures proportionnées

aux risques

Conformité I&L

Un moyen de se mettre en conformité et de le démontrer (notion d’ « accountability ») : faire une étude d’impacts sur la vie privée (EIVP), ou plus communément un Privacy Impact Assessment (PIA)

La démarche pour mener un PIA

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Le contexte

Délimitation claire et détaillée du périmètre en termes de finalités, description fonctionnelle, interfaces avec

d’autres traitements, données concernées et supports de ces données

Identification des enjeux du traitement de données (marketing/économiques, sociétaux, ergonomiques…)

Les mesures (pour traiter les exigences légales ET les risques sur les données)

Démonstration de couverture des références applicables, en expliquant comment les principes de la loi

Informatique et libertés sont couvertes ou en justifiant pourquoi elles ne le sont pas

Identification des mesures pour traiter les risques, et ré-estimation de la gravité et de la vraisemblance des

risques précédemment appréciés (on obtient ainsi les risques résiduels)

Les risques (sur les données, avec des impacts sur la vie privée)

Réflexion sur les sources de risques considérées (qui ou quoi peut en être à l’origine ?)

Étude des événements redoutés (que craint-on ?), en identifiant les impacts sur les personnes concernées

(notamment sur l’identité humaine, les droits de l'homme, la vie privée, les libertés individuelles ou publiques), et en

estimant leur gravité, en cas de disparition, de modification et d’accès illégitime aux données

Étude des menaces (comment cela peut-il arriver ?), en identifiant tout ce qui peut se passer sur les supports des

données pour que les événements redoutés se produisent, et en estimant leur vraisemblance

La décision

Proposition de décision au regard des risques résiduels ET des enjeux

Mesures

Risques Décision

Contexte

Le contexte

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Le traitement de données à caractère personnel

Quelle est sa finalité ?

Quels sont ses apports ? (pour l’organisme, pour les personnes concernées, pour la société…)

Le plus important : comprendre le cycle de vie des données

Quelles sont les données ?

Sous quel format ?

Qui sont les destinataires ?

Qui peut y accéder ?

Quelle est leur durée de conservation ?

Quelles sont les étapes ?

Sur quoi reposent-elles ?

…

Collecte Conservation Utilisation Transfert Destruction

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Exigences légales

1. Légitimité

2. Qualité

3. Information

4. Consentement

5. Droit d’opposition

6. Droit d’accès

7. Droit de rectification

8. Transferts hors Union européenne

9. Formalités

Agir sur les données

10. Minimisation

11. Anonymisation

12. Conservation

Agir sur les impacts

13. Sauvegarder les données

14. Contrôler l’intégrité des données

15. Gérer les violations de données

Agir sur les sources de risques

16. Gérer les archives

17. Tracer l’activité sur le système informatique

18. S’éloigner des sources de risques

19. Marquer les documents contenant des données

20. Gérer les personnes qui ont un accès légitime

21. Contrôler l’accès logique des personnes

22. Gérer les tiers qui ont un accès légitime aux données

23. Lutter contre les codes malveillants

24. Contrôler l’accès physique des personnes

25. Se protéger contre les sources non humaines

26. Cloisonner les données

27. Chiffrer les données

Agir sur les supports

28. Réduire les vulnérabilités des logiciels

29. Réduire les vulnérabilités des matériels

30. Réduire les vulnérabilités des canaux informatiques

31. Réduire les vulnérabilités des personnes

32. Réduire les vulnérabilités des documents papier

33. Réduire les vulnérabilités des canaux papier

Mesures transverses (au niveau de l’organisme)

34. Gérer l’organisation de protection de la vie privée

35. Gérer les risques sur la vie privée

36. Gérer la politique de protection de la vie privée

37. Intégrer la protection de la vie privée dans les projets

38. Superviser la protection de la vie privée

Les mesures : conformité aux bonnes pratiques

Les risques : toute atteinte à la vie privée

des personnes via leurs données

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Un risque sur la « vie privée » est un scénario décrivant un événement redouté et toutes les

menaces qui le rendent possible. Il est estimé en termes de gravité et de vraisemblance.

Supports

Matériels

Logiciels

Réseaux

Personnes

Supports papier

Canaux papier

Données

Données du traitement

Données liées aux mesures

Impacts potentiels

Vie privée

Identité humaine

Droits de l’homme

Libertés publiques

Sources de risques

Supports Données Impacts

potentiels

Vraisemblance Gravité

Menaces Événements redoutés

Risques

Sources de risques

Personnes externes

Personnes internes

Sources non humaines

La décision : validation au regard des enjeux

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Dispositif choisi

Enjeux

Zoom sur… l’ISO/IEC 29134 Conseils pour élaborer des PIA

L'APPROCHE DE LA CNIL POUR MENER DES PIA

L’ISO/IEC 29134 (Privacy Impact Assessment – Methodology) est censé proposer

un cadre pour réaliser des « études d’impact sur la vie privée » / « Privacy Impact

Assessments » (PIA)

Enjeux

Pourrait devenir un cadre commun pour gérer les risques liés aux données à caractère

personnel et dont les conséquences portent sur la vie privée des personnes concernées

besoin d’une compatibilité avec les normes relatives à la gestion des risques

Permettrait de mettre en oeuvre les exigences de gestion des risques dans le contexte de

la protection de la vie privée Besoin d’une compatibilité avec l’ISO/IEC 27001

Problèmes rencontrés

Éditeurs qui peuvent… progresser

Certains représentants européens ne connaissent pas la réglementation européenne

Seule la CNIL semble pouvoir agir à la fois au G29 et à l’ISO

Pas d’accord sur le périmètre et les références (concepts, principes, vocabulaire…)

Dernières nouvelles : le document est en cours de refonte complète pour intégrer à

la fois le contenu attendu d’un PIA et la démarche pour l’élaborer

Intérêt pour les CILS : avoir une référence pour faire ou commanditer des PIA

Conclusion Le PIA : la manière la plus efficace de faire du privacy by design

L'APPROCHE DE LA CNIL POUR MENER DES PIA

Les mesures sont proportionnées aux risques

Limite le risque de mettre en œuvre des mesures excessives

Les mesures doivent contribuer aux processus métiers

Limite le risque d’impact sur la productivité

Les mesures sont directement liées au cadre légal ou concurrentiel

Meilleure réactivité en cas de changement du cadre légal ou du marché

Les mesures peuvent être objectivement justifiées par le niveau des risques

Les coûts associés peu également être objectivement justifiés

Les guides de la CNIL